Dün bir sigorta şirketinin uygulamasının hacklenmesinin ardından bugün de Hızlı Geçiş Sistemi'nin (HGS) mobil uygulaması hacklendi.
HGS mobil uygulaması üzerinden kullanıcılara iki bildirim gönderildi. İlk bildirimde küfürlü ifadeler kullanılırken, ikinci bildirim ise tehdit içerikli oldu. Hacker tarafından kullanıcılara gönderilen ikinci bildirimde "Eğer bu BTC adresine 25 bin dolar göndermezseniz tüm veriyi paylaşacağım" ifadeleri yer aldı.
PTT: VERİ KAYBI YAŞANMADI
Hack olayıyla ilgili PTT'den açıklama yapıldı. PTT'nin açıklamasında, kullanıcı bilgilerinin yetkisiz kişilerin eline geçmesi gibi bir durumun yaşanmadığı belirtildi. PTT'nin yaşananlarla ilgili açıklamasında şu ifadeler yer aldı:
* "Akşam saatlerinde HGS mobil uygulamamızın mesaj servisine yurt dışından izinsiz bir erişim gerçekleşmiş ve bu kapsamda Şirketimizle ilgisi olmayan bildirimlerin bazı kullanıcılara iletildiği tespit edilmiştir.
* Olayın tespitiyle birlikte güvenlik sistemlerimiz hızlıca devreye girmiş, gerekli teknik ve operasyonel önlemler uygulanmıştır.
* Söz konusu izinsiz müdahale sırasında ise herhangi bir veri kaybı ya da kullanıcı bilgilerinin yetkisiz kişilerin eline geçmesi gibi bir durum yaşanmamıştır. Ayrıca, yasal mercilerle iş birliği içinde hukuki süreç başlatılmıştır."
USOM: BİLDİRİM HİZMETİNE AİT API ANAHTARLARI ELE GEÇİRİLDİ
Bilgi Teknolojileri ve İletişim Kurumu (BTK) Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından olayla ilgili açıklama yapıldı. USOM'un sosyal medya hesabından yapılan paylaşımda şöyle denildi:
* "Anadolu sigorta ve HGS isimli mobil uygulamaların bildirimlerinde meydana gelen olaylarla ilgili tüm tarafların ve 2 bin 314 SOME’mizin alması gereken tedbirler bilgilerine sunulmuştur.
* Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından yapılan çalışmalar ile söz konusu uygulamalar tarafından kullanılmakta olan 'OneSignal' bildirim hizmetine ait API anahtarlarının siber saldırganlar tarafından ele geçirildiği ve bu anahtarlar kullanılarak vatandaşlara yanıltıcı bildirimler gönderildiği tespit edilmiştir. Bu kapsamda SOME İletişim Platformu (SİP) üzerinden, Siber Olaylara Müdahale Ekiplerine (SOME) aşağıdaki bildirim iletilmiştir.
ALINMASI GEREKEN ÖNLEMLER AÇIKLANDI
* 1. Kurumunuz/Kuruluşunuz bünyesinde geliştirilen ve/veya kullanılan mobil uygulamalarda yerleşik (hard coded) API anahtarları, API secret'lar vb. anahtarların kullanılmaması, kullanılıyorsa benzer olaylara sebebiyet vermeyecek şekilde yetki sınırlandırılması yapılması,
* 2. Kurumunuz/Kuruluşunuz bünyesinde geliştirilen ve/veya kullanılan mobil uygulamalarda 'OneSignal' bildirim servisinin kullanılması durumunda 'OneSignal' uygulamasına giriş yapmaya yetkili tüm hesapların parolalarının ivedilikle sıfırlanması ve API anahtarlarının değiştirilmesi,
* 3. Buna benzer olayların yaşanması durumunda ivedilikle iz kayıtlarının incelenerek USOM'a bilgi verilmesi hususlarında gerekli hassasiyetin gösterilmesi rica olunur.
* Söz konusu eylemde bulunan siber saldırganların tespit edilmesine ilişkin çalışmalar sürdürülmektedir. Vatandaşlarımızın bu ve benzeri oltalama içerikli mesajlara itibar etmemeleri, herhangi bir kripto para transferi gerçekleştirmemeleri hususunda dikkatli olmaya davet ediyoruz."
"VERİ GÜVENLİĞİ Mİ? BİZDE O DA YOK!"
Uygulamanın hacklenmesine tepki gösteren CHP İzmir Milletvekili avukat Sevda Erdan Kılıç, "Veri güvenliği mi? Bizde o da yok!" dedi. Sevda Erdan Kılıç, sosyal medya hesabından yaptığı paylaşımda "HGS uygulaması da dijital çukur çetesinin eğlence alanı oldu. Milyonlarca vatandaşımızın kişisel bilgileri yine çarşı pazarda satılır gibi dolaşıyor. Vatandaşın mahremiyetini bu çetelere teslim ettiler. Dijital güvenlik diye bir kavram kalmadı ülkede!" ifadelerini kullandı.
